TokyoBlackHatNews

bleepingcomputer.com 5分で読了

悪意のある7-Zipサイトがプロキシツールを仕込んだインストーラーを配布

Image

偽の7-Zipウェブサイトが、人気のアーカイブツールのトロイの木馬化されたインストーラーを配布しており、ユーザーのコンピュータを住宅用プロキシノードに変えてしまいます。

住宅用プロキシネットワークは、ブロックを回避し、クレデンシャルスタッフィング、フィッシング、マルウェア配布などのさまざまな悪意のある活動を実行する目的で、家庭用ユーザーデバイスを使用してトラフィックをルーティングします。

この新しいキャンペーンは、あるユーザーが報告したことでより知られるようになりました。そのユーザーは、PCシステムの構築に関するYouTubeチュートリアルの指示に従っている際に、7-Zipプロジェクトになりすましたウェブサイトから悪意のあるインストーラーをダウンロードしたとのことです。BleepingComputerは、悪意のあるウェブサイト7zip[.]comがまだ稼働していることを確認できます。

脅威アクターは、ドメイン7zip[.]com(執筆時点でまだ稼働中)を登録しており、ユーザーが正規ツールのサイトに着陸したと簡単に錯覚させることができます。

さらに、攻撃者は7-zip.orgにある元の7-Zipウェブサイトのテキストをコピーし、構造を模倣しました。

Image
トロイの木馬化された7-Zipを配布する悪意のあるウェブサイト
出典: BleepingComputer

インストーラーファイルは、サイバーセキュリティ企業Malwarebytesの研究者によって分析され、元々Jozeal Network Technology Co., Limitedに発行された、現在は取り消された証明書でデジタル署名されていることが判明しました。

悪意のあるコピーには7-Zipプログラムも含まれているため、ツールの通常の機能を提供します。ただし、インストーラーは3つの悪意のあるファイルをドロップします:

  1. Uphero.exe – サービスマネージャーおよびアップデートローダー
  2. hero.exe – メインプロキシペイロード
  3. hero.dll – サポートライブラリ

これらのファイルは’C:\Windows\SysWOW64\hero\’ディレクトリに配置され、2つの悪意のある実行可能ファイルに対してSYSTEMとして実行される自動起動Windowsサービスが作成されます。

さらに、’netsh’を使用してファイアウォールルールが変更され、バイナリがインバウンドおよびアウトバウンド接続を確立できるようになります。

最終的に、ホストシステムはMicrosoftのWindows Management Instrumentation(WMI)およびWindows APIでプロファイリングされ、ハードウェア、メモリ、CPU、ディスク、ネットワークの特性が判定されます。収集されたデータは‘iplogger[.]org’に送信されます。

「初期の兆候はバックドアスタイルの機能を示唆していましたが、さらなる分析により、マルウェアの主要な機能はプロキシウェアであることが明らかになりました」とMalwarebytesはマルウェアの動作目標について説明しています。

「感染したホストは住宅用プロキシノードとして登録され、第三者が被害者のIPアドレスを通じてトラフィックをルーティングできるようになります。」

分析によると、hero.exeはローテーションする「smshero」テーマのC2ドメインから設定を取得し、その後1000や1002などの非標準ポートでアウトバウンドプロキシ接続を開きます。制御メッセージは軽量なXORキーを使用して難読化されています。

Malwarebytesは、このキャンペーンが7-Zipのルアーよりも大規模であり、HolaVPN、TikTok、WhatsApp、Wire VPNのトロイの木馬化されたインストーラーも使用していることを発見しました。

マルウェアは、hero/smsheroドメインを中心に構築されたローテーションC2インフラストラクチャを使用しており、トラフィックはCloudflareインフラストラクチャを経由し、TLS暗号化されたHTTPsで運ばれます。

また、Googleのリゾルバーを介したDNS-over-HTTPsにも依存しており、標準のDNSトラフィックを監視している防御側の可視性を低下させます。

マルウェアはまた、VMware、VirtualBox、QEMU、Parallelsなどの仮想化プラットフォームやデバッガーをチェックし、分析されているかどうかを識別します。

Malwarebytesの調査は、マルウェアを分析してその真の目的を明らかにした独立したセキュリティ研究者の研究に気づいた後に始まりました。研究者Luke AchaはUphero/heroマルウェアの目的を発見しました。

xorベースの通信プロトコルはs1dhyによってリバースエンジニアリングおよびデコードされ、プロキシの動作が確認されました。デジタルフォレンジックおよびインシデントレスポンス(DFIR)エンジニアのAndrew Danisは、偽の7-Zipインストーラーを複数のソフトウェアブランドになりすました大規模なキャンペーンに結びつけました。

Malwarebytesは、分析中に観察された侵害の指標(ドメイン、ファイルパス、IPアドレス)およびホスト関連データをリストしています。

ユーザーは、YouTubeビデオからのURLやプロモートされた検索結果に従うことを避け、代わりに頻繁に使用するソフトウェアのダウンロードポータルドメインをブックマークすることをお勧めします。

翻訳元: https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/

ソース: bleepingcomputer.com
#7-Zip #サイバー脅威 #トロイの木馬 #フェイクサイト #プロキシ #マルウェア #マルウェア分析 #不正インストーラー #住宅用プロキシネットワーク #情報詐欺

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用